网络安全研究人员发现了一种名为 LightSpy 的 Apple iOS 间谍软件的改进版本，它不仅扩展了其功能，还结合了破坏性功能，以防止受感染的设备启动。

“虽然 iOS 植入交付方法与 macOS 版本的方法非常相似，但由于平台差异，漏洞利用后和权限提升阶段存在显著差异。”ThreatFabric 在本周发布的分析中表示。

LightSpy 于 2020 年首次被发现，是一种模块化植入物，它采用基于插件的架构来增强其功能，并允许它从受感染的设备中捕获广泛的敏感信息。

分发恶意软件的攻击链利用 Apple iOS 和 macOS 中的已知安全漏洞来触发 WebKit 漏洞，该漏洞会丢弃扩展名为“.PNG”的文件，但实际上是一个 Mach-O 二进制文件，负责通过滥用编号为 CVE-2020-3837 的内存损坏漏洞从远程服务器检索下一阶段的有效载荷。

这包括一个名为 FrameworkLoader 的组件，该组件反过来会下载 LightSpy 的核心模块及其各种插件，在最新版本中，这些插件已从6.0.0版本的12 个上升到7.9.0版的28个。

“Core 启动后，它将执行 Internet 连接检查，然后它将检查从 FrameworkLoader 作为 [命令和控制] 数据和工作目录传递的参数。”这家荷兰安全公司表示。

“使用工作目录路径 /var/containers/Bundle/AppleAppLit/，核心将为日志、数据库和泄露的数据创建子文件夹。”

这些插件可以捕获范围广泛的数据，包括 Wi-Fi 网络信息、屏幕截图、位置、iCloud 钥匙串、录音、照片、浏览器历史记录、联系人、通话记录和 SMS 消息，以及从文件、LINE、邮件大师、电报、QQ、微信和 WhatsApp 等应用程序收集信息。

一些新添加的插件还拥有破坏性功能，可以删除媒体文件、短信、Wi-Fi 网络配置文件、联系人和浏览器历史记录，甚至冻结设备并阻止其重新启动。此外，LightSpy 插件可以生成包含特定 URL 的虚假推送通知。

该间谍软件的确切分发工具尚不清楚，但据信它是通过水坑攻击精心策划的。迄今为止，这些活动尚未归因于已知的威胁组织。

“LightSpy iOS 案例凸显了保持系统最新状态的重要性。”ThreatFabric 说。“LightSpy 背后的威胁组织密切监控安全研究人员的最新成果，使用新披露的漏洞来提供有效载荷并提升受影响设备上的权限。”

详细技术报告：https://www.threatfabric.com/blogs/lightspy-implant-for-ios

新闻链接：

https://thehackernews.com/2024/10/new-lightspy-spyware-version-targets.html